一、项目实施方案   

1.1 基本网络架构

根据出口链路情况，本次项目实施方案设计共分为二部分:

1.1.1 主-备模式

1.1.2 混合模式

1.2 系统部署示意图

本次项目实施设备部署示意图如上章节《1.1 基本网络架构》所示。

1.2.1 主-备模式

本方案中，所有主干核心设备采用主-备模式，同样租用运营商无论是一条还是多条出口链路，都需要提供相互主备的2条运营商线路，确保一条断开后另一条自动生效。

链路负载均衡、互联网边界防火墙、WAF应用防火墙均为双机热备部署，设备之间通过HA心跳线相连，采用主-备模式。

链路负载均衡、互联网边界防火墙、WAF应用防火墙左边为双机热备主模式。负载均衡会通过网关监测、VLAN监测（接口、IP地址或IP段监测）等多途径监测，确保某一监测点故障时，自动切换到备用链路负载均衡；防火墙双机模式下，支持探测网口、探测IP状态的方式监测防火墙自身以及其它链路是否存活，当监测点故障时，自动切换到备用防火墙；WAF应用防火墙同样在双机模式下，支持探测网口、探测IP状态的方式监测防火墙自身以及其它链路是否存活，当监测点故障时，自动切换到备用WAF应用防火墙。

1.2.2 混合模式

本方案中，所有主干核心设备采用主-备模式，当租用运营商为多条链路且每条链路无法提供备用线路时，我们不得不在运营商线与负载均衡设备之间采用一台或多台互联网接入交换机进行汇聚，然后分别连接到负载均衡设备。

链路负载均衡、互联网边界防火墙、WAF应用防火墙均为双机热备部署，设备之间通过HA心跳线相连，采用主-备模式。

链路负载均衡、互联网边界防火墙、WAF应用防火墙左边为双机热备主模式。负载均衡会通过网关监测、VLAN监测（接口、IP地址或IP段监测）等多途径监测，确保某一监测点故障时，自动切换到备用链路负载均衡；防火墙双机模式下，支持探测网口、探测IP状态的方式监测防火墙自身以及其它链路是否存活，当监测点故障时，自动切换到备用防火墙；WAF应用防火墙同样在双机模式下，支持探测网口、探测IP状态的方式监测防火墙自身以及其它链路是否存活，当监测点故障时，自动切换到备用WAF应用防火墙。

1.3 安装部署规划

1.3.1 项目实施规划

根据项目实施要求，针对本次项目进行了网络IP地址、与端口规划，详见下表:

其中负载均衡、互联网边界防火墙和WAF应用防火墙管理IP均配置为带外管理IP，便于后期维护管理，同时不影响网络业务。特别防火墙设备因端口配备充沛，GE1配置启用，不与其它设备连线，仅用于设备无法通过远程管理时，用于本地管理。ADC负载均衡为路由模式，通过开启相应接口的管理权限即可用于远程管理设备。WAF应用防火墙设备因为安全性的考虑，仅支持单独带外管理口的方式用于系统的远程管理。

综上所述，ADC负载均衡每台设备最少启用3个接口，即业务口2个:1连接运营商 2连接防火墙；HA口1个。互联网边界防火墙最少启用3个接口，即业务口2个：1个上连至ADC，1个下连至WAF；HA口1个。WAF互联网防火墙最少启用3个接口，即业务口2个：1个上连至FW，1个下连至核心交换机；HA口1个。

1.3.2 设备电源规划

项目实施前，实施人员需要根据设备的电源数及功率，以及用户方机房内每个机架内的电源功率使用情况进行规划。

1.4 项目实施说明

本次项目中，无论运营商链路如何选择，本次项目推荐采用主-备模式进行设计与实施，便于ADC负载均衡的路径选择和链路优化，以及NAT的转换，如果采用主-主模式，配置无法实现完全的同步，否则一旦链路故障，无法自动全部进行切换。主干链路产品包括ADC负载均衡、防火墙、WAF应用防火墙双机模式均除了接口监测功能外还支持链路监测以及IP等监测，完全避免单条主干链路某设备断开后无法自动切换而影响核心链路的顾虑。

本次项目设备选型均选用启明星辰公司推出市场有一定时间，且具有一定市场占有率，先后在不同用户不同网络环境中经过长时间使用的高性能产品，产品性能高运行稳定可靠，本次项目产品全部支持双电源。

堡垒机产品、脆弱性漏洞扫描系统均旁路部署，可理解为网络中一台服务器进行工作，不影响核心链路正常运行。建议根据实际情况再作优化调整。